Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

国内の特定業種狙うIEゼロデイ攻撃が1カ月以上継続中 - 修正されぬ改ざんサイト

改ざんされた正規ウェブサイトを閲覧しただけでマルウェアに感染する危険性の高いゼロデイ攻撃が、すでに1カ月以上にわたり継続していることがわかった。国内特定セクターの関係者をターゲットにしていると見られ、感染源となっている国内サイトも稼働中だという。

問題の攻撃は、「Internet Explorer」に存在する脆弱性「CVE-2013-3893」を悪用するもので、8月25日の時点で脆弱性を修正するセキュリティ更新プログラムは提供されていない。被害を防ぐには、日本マイクロソフトが用意する「Fix it」や「EMET」といった緩和策を活用するか、影響を受けない他ブラウザを利用する必要がある。

今回の攻撃を分析したファイア・アイによれば、脆弱性を悪用するマルウェアは、約1カ月以上前となる8月19日に確認されており、同社では8月23日に攻撃を検知した。同社はマルウェア内から見つかった文字列より「DeputyDog」と命名し、警戒を強めている。

同社が確認したマルウェアは、改ざんされたウェブサイトを通じて、「img20130823.jpg」というファイル名で一見画像ファイルを装って配布されていた。8月19日のほぼ同時刻に作成されたと見られる複数の亜種を確認している。

20130925_fe_001.jpg
三輪氏

またコマンド&コントロールサーバに利用されたIPやドメインの相関性から、2013年2月にセキュリティベンダーの米Bit9に対して行われたサイバー攻撃との関連性も明らかになった。国内を標的とした攻撃と、海外セキュリティベンダーを対象とした過去の攻撃キャンペーンが結びつく珍しい事例だとファイア・アイの最高技術責任者である三輪信雄氏は説明する。

同氏は、現時点における改ざん被害の規模や攻撃対象の業種、攻撃者像に関し、「クリティカルな問題」であるとして言及を避けたが、感染源となっているのは、政府や特定業種の関係者が利用する可能性がある「日本語ベースのウェブサイト」であり、こうした改ざんサイトを通じて国内に感染が拡大していることを明らかにした。

海外では一切検知されておらず、日本国内へ攻撃をしかける目的で、攻撃者が未知の脆弱性を探し出した可能性も高い。改ざんされたサイトは、修正されずに引き続き公開されているだけでなく、さらに別のサイトが改ざんされることへの懸念もあり、予断を許さない状況となっている。

(Security NEXT - 2013/09/25 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

Ivanti製VPN製品のゼロデイ脆弱性、中国関連のグループが悪用か
米当局、Ivanti VPN製品のゼロデイ脆弱性で注意喚起 - 侵害なくとも初期化を
「Ivanti Connect Secure」などに深刻な脆弱性 - すでに悪用も
Acclaim Systems製畜産管理ソフトの脆弱性悪用に注意喚起 - 米政府
先週注目された記事(2024年12月8日〜2024年12月14日)
米CISA、ファイル共有ツールなどの脆弱性3件を悪用リストに追加
先週注目された記事(2024年11月17日〜2024年11月23日)
米当局、AppleやOracleの脆弱性悪用に注意喚起
先週注目された記事(2024年11月10日〜2024年11月16日)
頻繁に悪用された脆弱性トップ15 - 多くでゼロデイ攻撃も

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.